Пользуюсь ядром с автоматическим подписыванием всех модулей ядра (CONFIG_MODULE_SIG_ALL). Захотелось прикрутить такую же автоматическую подпись модулей к пакетам, собирающим модули ядра (например, nvidia-drivers).
Написал в env на пакет небольшой скрипт post_pkg_preinst. Проверяет конфиг ядра (благо, все эти пакеты уже тянут в inherit linux-info), ищет find-ом в ${D} модули ядра, накладывает подпись через стандартную утилиту ядра sign-file. Все отлично работает, но т.к. хочется еще и бинарный пакет с подписанными модулями, надо выносить все это дело в post_src_install, где модифицировать бинарные ELF файлы не дает.
Подумал, что это sandbox (первое, что приходит в голову из различий между src_install и pkg_preinst). Выключил его вообще через FEATURES - все тоже самое, хотя при этом без проблем пишу в корень или /sbin прямо из post_src_install (т.е. sandbox 100% не работает). Причем на других пакетах аналогично - не дает модифицировать бинарный ELF файл, ни в ${S}, ни в ${D}. Даже если просто делаю «cat ${D}/file1 ${D}/file2 > ${D}/file3», где file1 - бинарный ELF файл, всегда создает file3 с содержимым только из file1 вне зависимости от содержимого file2 и прав доступа (т.е. не зависит исполняемый это файл или нет), однако, текстовые файлы или файлы с «мусором» соеденяет с помощью «cat» без проблем.
Может, кто-то сталкивался? В идеале, нужно отключить эту защиту на конкретную операцию, но ничего не могу найти в интернете или мануалах.
Upd. Нашел в чем проблема, без FEATURES=«nostrip» режет все «лишнее» в бинарных ELF, считая доп. отладочной информацией.
